私は Linux Mint Tara を使用しています。Firefox でブラウズすると、時々、ブラウズしているページに暗号化されたスクリプトが挿入されます。ページのどこかをクリックすると、ポップアップ広告が開きます。これを検出、デバッグ、または削除するにはどうすればよいでしょうか?
暗号化されたスクリプトを挿入するために複数のドメインを使用します。以下は metalstorm.net でキャプチャされたスクリプトの一部です。
producebreed.com/rhZuYJzPiF4A/7259?ndn=ch1
allashail.club/rOE2tc1PoS95dtt/6921?ndn=ch1
他のサイトにも同じようなポップアップが表示されるものがあり、最終的にはすべてこの同じ広告が表示されます。
www.flipkart.com/?affid=galaksion&affExtParam1=675DF0D0-F015-11E9-AD30-A5250CAA7799&affExtParam2=23011
びっくりです。デフォルトの Firefox を tarball に置き換えましたが、このマルウェアの活動は依然として続いています。Firefox では 2 つのアドオン (Alexander Shutau の Dark Reader と addONDeveloper の Little Proxy) を使用しています。
これはサイトのせいですか、それとも私のシステムから注入されたものです? システムにマルウェアがある場合、システムをデバッグするにはどうすればいいですか?
更新:- (1)
最初の Linux セットアップで不安になった後、Windows 10 でも同じことを試してみたところ、広告ポップアップを再現できました。今では、ワイヤレス ルーター (TP LINK を使用) または ISP によって挿入されたという仮説に至りました。
観察:-
http サイトでは再現できますが、同じドメインの https サイトでは再現できません。
Adblock plus は一部のドメインをブロックできませんでした。
Linuxではアフィリエイトリンクへのリダイレクトが表示されます(上記に掲載)が、Windowsでは派手なリンクをクリックしてFirefoxのアップデートをインストールするポップアップが表示されます(笑)。アドウェア/マルウェアに違いありません。アドスクリプトのリダイレクトフローは
- beebuyart.club/rEf9VJuYlrzh/6934?ndn=ch1
- bumcapale.site/itBijexW4tbTS9g8xadln/3276?param_2=6934
- 操作extremelyswiftsoftware.icu/ztqvfI7dezj3gbC3YoH5Y_zIsFAxcXiBNPSK8NeX69I?clck=12819_11387_31571234720101895&sid=s33371587
ルーターをデバッグしたり、ISP がスクリプトを挿入しているかどうかを確認したりできたら、自分で回答を投稿します。このアドスクリプトのソースをデバッグするツールをご存知の場合は、ぜひご提案ください。
更新:- (2)
問題の ISP (BSNL) に関連する記事を閲覧した後、SE と Reddit スレッドで多くの質問が見つかりました。
Redditスレッド
https://www.reddit.com/r/IndiaSpeaks/comments/a9nsoz/bsnl_is_not_injecting_the_ads_into_our_http/
関連している
答え1
この問題は、Firefox プロファイルに深く根付いている可能性があります。空のプロファイルで Firefox を起動します。ディレクトリを作成し、次のようにして Firefox を起動します。
firefox --profile $directory
Firefox のインスタンスがクリーンに見える場合、プロファイル仮説はいくらか支持を得ます。
その場合、最善の対処法は、標準プロファイルの名前を変更し、Firefox で新しいプロファイルを作成し、いくつかの情報 (保存されているログイン/パスワード、ブックマークなど) をコピーすることです。
探偵役をしたい場合は、侵害されたプロファイルで Firefox を起動し、プロキシまたは不明なアドオン (できれば VM 内) を探します。
答え2
これは暗号化されていないウェブページで一般的に起こる問題です。 ISP や、ユーザーとウェブサイトの間にある他のサーバーによって、転送中に変更される可能性があります。 次の点を考慮する必要があります。